sábado, 31 de diciembre de 2011

MATRIX Repaso del Año

Se termina el año y he leído unos post estupendos resumen de todas las vulnerabilidades descubiertas durante el año, las grandes multinacionales parece que siguen sin tomarse muy en serio la seguridad y la mayor parte de la gente sin saberlo!!!

Resulta ser como Matrix, no importa que no sea seguro, si tiene no se cuantos megapixel, no se cuanta RAM pagamos lo que sea y no vemos la realidad, que nuestros datos y nuestra intimidad esta amenazada.

No quería terminar el año sin hablar de dos personas que se dedican a investigar y avisar de todos esos errores que deben mejorarse.


Así empezó la historia...........


No importa el Sistema Operativo para los que son buenos.



Lo importante es el conocimiento y la técnica.


A veces no es fácil con el Agente Smith.


Y la lucha es inevitable.


Pero gracias a estos profesionales la verdad se hace Publica.

Muchas gracias a Ruben Santamarta y Alejandro Ramos por todas esas horas de investigación que luego comparten con la comunidad en conferencias, blogs etc......

Y en toda esta historia es un poco raro que no saliera Trinity, ¿por qué seria??



Créditos
Alejandro Ramos "Dab" como Morfeo.
Ruben Santamarta como Neo.
Trinity como Trinity.
Chema Alonso como groupie de Trinity.

Seguridad a lo Jabali para Todos, Feliz AÑo Nuevo 2012!

viernes, 30 de diciembre de 2011

Certificaciones y Albumes de Cromos

Como todos sabéis ultimamente andamos un poco cortos de tiempo, y uno de los motivos es la preparación de certificaciones de Microsoft, cada persona inicia una formacion por diferentes motivos, en mi caso particular por encima de todo, es mejorar mis conocimientos.

Por supuesto, cuando mejoras tus conocimientos, también mejoran tus expectativas laborales o salariales y cuando recibes una formacion con opciones de certificacion, esta claro que quieres obtener los certificados.

Pero es indicativo de un conocimiento el obtener una certificacion o simplemente indica que tienes mucha memoria para estudiar los test. Deberían las empresas tener "tan en cuenta" todos esos diplomas y certificaciones o mejor seria una conversacion con el personal técnico, en lugar de el encargado de recursos humanos.

En mi caso agradezco a mi profesor en este curso Juan Diaz Antuña en profundizar en el conocimiento del Sistema y no centrar la formacion en memorizar infinitos test, un curso de calidad, que recomiendo realizar.

Porque señores, yo sabia lo mismo el día antes del examen, que el día después. Y no deberíamos convertir nuestras en empresas en "albumes de cromos" con cientos de certificados de nuestros trabajadores, algunos con muy poquitos conocimientos...........

Seguridad a lo Jabali para Todos!!!

jueves, 29 de diciembre de 2011

Libros Indispensables "Hacking con buscadores Google, Bing & Shodan"

Hoy os traigo mi opinión sobre otro de los libros de Informatica64 ya habíamos hablado en otro post sobre estos libros. Aprovechando estas fechas, que mejor regalo, que un buen libro!!

Este libro de Enrique Rando es el primero que leí de la editorial de Informatica64, en aquel momento quería profundizar en el funcionamiento de los buscadores, no solo por temas de seguridad, además es interesante desde el punto de vista de un desarrollador de software.

En Hacking con buscadores, podrás descubrir como funcionan los buscadores, como puedes interactuar con ellos, y aprovechar toda la potencia de Google, Bing y Shodan, además de sus diferencias de comportamiento ante ciertas búsquedas avanzadas o modificadores de  extensión de archivos, etc.

Además de algunas pruebas de concepto muy interesantes, que demuestran que seria factible hacer cierto tipo de ataques desde los propios buscadores.

Un libro mas que recomendable para conocer el funcionamiento de los buscadores, explicando cada concepto de forma concisa y clara para que te resulte muy fácil de comprender, así que no tenéis excusa para no comprarlo.
Desde aquí, muchas gracias a Enrique Rando por compartir sus conocimientos y horas de deificación, plasmándolas en un Excelente Libro!!

Otros Post Relacionados

Seguridad a lo Jabali para Todos!!

miércoles, 28 de diciembre de 2011

MCTS Microsoft Certified Technology Specialist

Lamentamos este "pequeño parón en el Blog" pero como dejamos aquí reflejado, nos hacían falta unos días para preparar un examen de certificacion, en concreto el MCTS Microsoft Certified Technology Specialist.


Estamos Certificados !!!!!

Aunque este solo es el primero de una serie de Examenes para obtener varias certificaciones de Microsoft, es un principio, para conocer mas profundamente los "entresijos de Windows".

Iremos plasmando algunas impresiones sobre todo este tema de las certificaciones y alguna cosilla sobre windows, mañana seguiremos escribiendo ahora que de nuevo tenemos un poquito mas de tiempo.

Muchas gracias a Todos por la espera.......... Seguridad a lo Jabali para Todos !!

martes, 20 de diciembre de 2011

Estudiando Certificaciones Microsoft

Estamos estudiando para obtener certificaciones de Microsoft !!!

Disculpen las Molestias !!!!

Seguridad a lo Jabali para Todos !!!!

lunes, 19 de diciembre de 2011

Plan de Continuidad de Negocio Introduccion

Habíamos expuesto una serie de Artículos con la intención de clarificar un poco la instalación de medidas de seguridad informática, mediante el desarrollo de un plan de seguridad



Todo plan de seguridad además debería tener integrado un Plan de Continuidad de Negocio, que no es mas que un análisis detallado de que contingencias que podrían afectar a nuestra empresa,

En que grado la afectarian,
Como puedo minimizar los riesgos
Cuanto tiempo tardare en volver a producir después de un incidente.


Como siempre todos estos pasos deben estar perfectamente documentados y cada una de las acciones a tomar debería estar detallada y comprobada. Recordar que para certificar la Iso 27001 es obligatorio que forme parte del Plan de Seguridad un Plan de Continuidad de Negocio.


En cualquier caso es mas que recomendable para cualquier empresa sea grande o pequeña que documente y aplique un Plan de Continuidad de Negocio, siempre claro esta, adaptado a sus necesidades particulares.

En próximo artículos detallaremos el proceso un poco mas y explicaremos algunas pautas para realizarlo.

Seguridad a lo Jabali para Todos!!

viernes, 16 de diciembre de 2011

Libros Indispensables "Análisis Forense Digital en entornos Windows"

Hace ya algún tiempo que circulan por toda la Red artículos sobre los libros publicados por Informatica64, la iniciativa surgió para producir publicaciones actuales sobre diversos temas de seguridad informática y escritos por la mano de los mejores expertos en la materia.

Personalmente compre varios de estos libros y escribiré algunos post contando que me parecieron ..... aunque el primero que leí fue Hacking con buscadores vamos a empezar con el que escribió SilverHack.

Juan Garrido Caballero, Silverhack nacido en Triana, secuestrado por Chema Alonso "El Maligno", encerrado en el Soctano Informatica64 donde ahora permanece esclavizado haciendo Análisis Forenses, conferencias y otras muchas labores como escribir este libro.

Lo primero decir que desde que empecé a leer el libro me engancho, la forma en que esta escrito hace que no puedas parar de leer, con todo el rigor técnico va explicando cada parte de un sistema informático y como podemos diseccionarlo para extraer toda la información en ese punto.

Francamente me parece, no solo una lectura mas que interesante, además es un libro de referencia en análisis forense que sin imponerte una metodología estricta no olvida ningún aspecto, basado en la experiencia propone una metodología completa para un Análisis Forense.

Excelente libro de consulta para todos los que quieran conocer a fondo El sistema Operativo y sin duda lo utilizare como referencia en muchas ocasiones.

Muchas gracias a Juan Garrido por escribirlo y esperando estamos el segundo volumen.

Otros Libros Indispensables
Hacking con Buscadores de Enrique Rando .

Seguridad Jabali para Todos!!

jueves, 15 de diciembre de 2011

Hackea a tu hijo Capitulo 6 "Al Baño, pero sin el Móvil"

Siempre ha habido cierto choque generacional, entre lo que los hijos y padres opinaban sobre estética, moda y amigos recomendables. Pero hoy en día es mas difícil saber que amigos tiene nuestro hijo o que imagen proyecta en su entorno, el problema es que gran parte de su vida social esta en la red, y muchos padres no poseen suficientes conocimientos para averiguar el comportamiento de su hijo.

También influye la tendencia de los padres a no querer ver....
" No mi hijo no hace esto, ni aquello...! ".

El Sexting existe, nos guste o no, los adolescentes están inundando la red de fotografías en posturas y actitudes sugerentes, que pueden provocar ciertos riesgos.

Lo primero es saber distinguir lo que es o no Sexting, un claro ejemplo es el de la fotografía mostrada aquí.

Algunos indicios como si se llevan el móvil al baño, o si no tienes acceso a sus redes sociales, quizás tu hijo esta haciendo Sexting.

Los Riesgos que entraña este tipo de practicas son muchos, desde exclusiones sociales o chantajes para que el adolescente continue enviando fotos a situaciones mucho mas complicadas, sobre todo cuando son adultos los que interactúan con los adolescentes.

Además como demostramos en el articulo anterior, en muchas ocasiones, puede ser relativamente sencillo localizar geograficamente la ubicación del menor.
Hackea Tu Hijo 5 .


En www.Sexting.es tienes mas información.

Seguridad a lo Jabali para Todos !!!

miércoles, 14 de diciembre de 2011

Feliz Navidad desde Seguridad Jabali

Seguridad a lo Jabali os desea Felices Fiestas a Todos !!!!
Que disfrutéis de estas fechas con amigos y familia y se cumplan todos vuestros deseos.....


Muchisimas gracias a Todos por vuestros comentarios, y muestras de afecto!!!!

Seguridad a lo Jabali para Todos !!!

lunes, 12 de diciembre de 2011

Facebook Rumores (Parte 4) Gusano "Sales en este Video"

Ya tardaba mucho en aparecer otro nuevo rumor en Facebook, pero ojo esta vez va en serio, durante todo el fin de semana han ido apareciendo en tu muro (y en el mio) desde contactos o amigos un enlace en el que se dice...
"Sales en este vídeo".

Si pulsas en el enlace, que realmente si te lleva a un blog, no hay truco en la url, pero ahí aparece una especie de facebook, muy mal hecho por cierto... se lo podrían haber currado un poco mas!!

Y te solicita pulsar en un enlace, para descargar un plugin, ahí esta la trampa, nunca pulses en estos botones, si te fijas, la mayor parte de los enlaces que pulsas si pasas la flecha del ratón por encima, abajo a la izquierda te suele poner a que dirección o url te enviaran, este no!!!
Desconfía cuando sea así.


El equipo de ESET Antivirus se me adelanto en la publicacion de este articulo y como siempre han hecho un gran trabajo, os dejo el enlace.


Seguridad a lo Jabali para Todos !!!

domingo, 11 de diciembre de 2011

Recomendaciones David Hernández "Dabo"

Como cada Domingo aquí estamos recomendando un lugar que nos parece interesante para conocer, aprender o descubrir algo sobre informática, tecnología o seguridad.
La verdad no sabia muy bien como afrontar este articulo, quizás por eso se retraso bastante su publicacion, es difícil definir el trabajo de una persona que esta dando tanto, de tantas maneras.

David Hernández lleva mas de diez años por esta red aprendiendo, enseñando y sobre todo compartiendo, aunque peca de humilde, y seguro que os contara que "es mentira" es una de las personas que mas sabe de Debian o Ubuntu, seguramente habrás utilizado algún tutorial suyo de como instalar o configurar algo en Linux.
Además sabe muchisimo de seguridad informática, trabaja en Apachectl donde se encarga de asegurar y mejorar la seguridad de las empresas y optimizar sus Sistemas informáticos.
Colabora con diversas entidades y fundaciones para mejorar la seguridad informática y concienciar e informar a empresarios y particulares mejorando esta Red que es de todos, aunque no todos la cuiden.

David Hernández escribe en uno de los mejores blogs del panorama.
Daboblog donde además de unos excelentes Podcasts, aprenderás muchisimo de seguridad y de informática, muy recomendables los artículos sobre las configuraciones de Servidores y aplicaciones, un profesional que no solo se preocupa de que el servicio sea estable (no siempre fácil) además debe ser seguro.

En DaboWeb otro de sus proyectos que es indispensable conocer, no puedo evitar dejaros el enlace a este articulo donde puedes conocer a todos los participantes de este proyecto, que luego Dabo se enfada porque dice que siempre se lleva las medallas jejejeje. Presentacion de DaboWeb .

Por si toodo esto fuera poco además le gusta la fotografía, así que os dejo este enlace para que disfrutéis de sus trabajos no informáticos Fotografías de David Hernández .

La verdad es que tengo la suerte de conocer a David, y charlamos un rato en las jornadas de Seguridad organizadas por AreaTic, cuando hablas con Dabo enseguida te das cuenta, de que sabe mucho mas de lo que quiere reconocer, ya os contaba que es muy humilde, y tiene toda esa solera de los grandes profesionales de seguridad que llevan mucho tiempo en la trinchera, con mucha tranquilidad pero sin pelos en la lengua, es muy agradable compartir experiencias y puntos de vista sobre la informática y la seguridad.

Aunque sabemos que siempre esta muy liado, intentaremos hacer alguna entrevista porque merece la pena conocer mejor a profesionales así, además haber si conseguimos que se realice por aquí algún curso de seguridad impartido por Dabo, que desde luego seria algo Espectacular!!!!


Un excelente profesional que desde aquí os recomendamos seguir para aprender mucho!!!!

Seguridad a lo Jabali para Todos!!

viernes, 9 de diciembre de 2011

Windows cifrado con BitLocker

Después del articulo de Windows opciones de disco Duro en el que repasamos algunas opciones interesantes que deberías conocer para tener tu sistema seguro nos toca explicar como cifrar y vamos a empezar con una funcionalidad muy interesante implementada en los últimos sistemas operativos de Microsoft.

BitLocker es un nuevo servicio que permite cifrar tu disco duro, aunque a partir del sistema de formateo NTFS ya se pueden cifrar los discos, de hecho puedes cifrar el contenido de cualquier carpeta/archivo con  
BotonDerecho/Propiedades/PestañaGeneral/OpcionesAvanzadas/Check cifrar contenido para Proteger los Datos.

Inicio escribe Bitlocker y veras varias opciones interesantes, una de ellas es para activar Bitlocker y así cifrar tu disco duro.
Además también puedes cifrar unidades extraibles como pendrives, etc.

Muy interesante es la administración de certificados digitales para el cifrado, por defecto utiliza el certificado de usuario creado por windows, pero podrías implementar para que utilice otros certificados mas seguros.


Bitlocker permite otras funcionalidades como verificar firmas de archivos en entornos de dominio utilizar un modulo TPM (hardware) para la firmas de cifrado y puede gestionarse desde la consola de Manager Bitlocker.


Renombrando la Unidad A: como unidad de USB también podrás utilizar un pendrive a modo de Llave para un cifrado mas seguro (escribiremos un tutorial mas adelante) y en entornos empresariales podrás decidir que software se ejecuta (según firma, ubicación, o certificados) creando una GPO para utilizar otras funcionalidades de Bitlocker.

Seguridad a lo Jabali para Todos!!

miércoles, 7 de diciembre de 2011

Windows opciones Disco Duro

Después de la serie de artículos sobre ocultacion de datos (cifrado, hash, etc) seria hora de explicar algunos métodos o software para hacerlo, pero primero quiero repasar algunas opciones interesantes que puedes verificar en tu disco duro en un entorno Microsoft.


Para llegar a este menú basta con dar al botón derecho sobre equipo/opción administrar.
En este menú debes seleccionar la opción Administración de Discos.
Esto te proporcionara una visión de los discos/particiones que tienes en tu equipo.

Puedes abrir las propiedades de cualquier disco pulsando con el botón derecho del ratón.
Muchas de estas propiedades son muy interesantes y deberías conocerlas, porque si queremos proteger la información, esta se almacena aquí.
Herramientas es el menú para verificar si hay errores en la unidad, desfragmentar para mejorar el rendimiento del disco y las opciones de backup.


Compartir es la opción para verificar si el medio esta compartido, mucho ojo con esta pestaña, tu disco duro nunca debería estar compartido.
Salvo que estés en una red interna y el equipo sirva como disco de red, el disco debería figurar como no compartido, además si tienes conexion wifi lo estas poniendo muy fácil para acceder. IMPORTANTE!!

En Seguridad podrás verificar que usuarios y que privilegios tiene cada usuario/grupo para acceder al disco, es conveniente saber que opciones hay señaladas tanto en la parte de compartir como en la parte de seguridad, así puedes proteger el acceso a tu disco duro donde están tus datos.
IMPORTANTE!!

Cuota es la parte que sirve para administrar la cantidad de espacio que ofreces a tus usuarios, aquí podrás marcar que una cuanta de usuario no supere cierto espacio de almacenamiento en el disco duro.
Si hay varias cuantas es una opción interesante, aunque esta dirigida mas a un entorno empresarial.
Recuerda que si tu disco duro se llena podría quedar dañado y el sistema operativo dejaría de funcionar.

Espero que aproveches todas estas opciones si estas en un entorno Windows, al menos deberías verificar que las opciones estén correctamente configuradas.
Seguridad a lo Jabali para Todos!!!

lunes, 5 de diciembre de 2011

Tu sentido común OSI

En la Oficina de Seguridad del Internauta que ya recomendamos en varias ocasiones, siempre están trabajando en proyectos interesantes para mejorar la seguridad de los usuarios independientemente de sus conocimientos técnicos.

Tu Sentido Común con esta apariencia tan original la oficina de seguridad del internauta lanza una campaña para concienciar de la falta de sentido común o la ligereza con la que nos tomamos la seguridad en Internet.

Una visita interesante con varias descripciones  y comparaciones muy didácticas que nos demuestran que muchas acciones que nunca haríamos en la vida real si las realizamos en la Red.

Sin duda, Osi nos trae una campaña interesante que deberías visitar, seguro que mas de uno se sorprende.

Seguridad a lo Jabali para Todos!!

domingo, 4 de diciembre de 2011

Recomendaciones Flu Project

Domingo día de Recomendaciones, hace unas semanas en este apartado recomendábamos el blog de Chema Alonso y lectora nos sugería un blog. 
Flu Project de Juan Antonio Calles y Pablo González.


Silvis como puedes ver por aquí, somos gente de palabra, asi que hoy nuestra recomendación, es Flu Project .



Es muy difícil definir en un solo post todo el trabajo de algunos profesionales, En Flu Project no solo se dedican a difundir y fomentar la seguridad informática, también puedes encontrar pruebas de concepto sobre diversas vulnerabilidades, tutoriales y el desarrollo de su propio software.

En este blog además de aprender muchisimas cosas de informática puedes ver un listado de diversas herramientas de seguridad.

Anubis es un excelente conjunto de aplicaciones creado por los fundadores de Flu Proyect para facilitar las Auditorías y Test de intrusión.

En Flu Project también tienes libros, vídeos, retos hacking y menciones a diversos compañeros que colaboran en el proyecto.

Nuestra recomendación para este Domingo es que leas el blog de Flu Project donde puedes aprender muchisimo y pruebes las herramientas que desarrollan. Un saludo desde Seguridad Jabalí y muchas gracias por su buen hacer a los chicos de Flu Project!!!!

Seguridad a lo Jabali para Todos!!

viernes, 2 de diciembre de 2011

Ocultacion de Datos Conclusiones

En artículos anteriores

Para concluir esta serie de artículos sobre la protección de Datos, recordar algunos puntos importantes las comunicaiones hoy en día se basan (o mejor dicho deberían basarse) en la combinacion varias técnicas.

La cuestión es el Concepto, como diría nuestro amigo de Airbag, recordar que la ocultacion de datos no impide el acceso o robo de los datos.

Cifrado se utiliza para que los datos no puedan ser vistos tanto si te los roban, como si interceptan una comunicacion, es importante seleccionar un buen algoritmo de cifrado o utilizar varios, además de utilizar contraseñas fuertes.

Hash se utiliza para darle una firma de a un archivo, asegurándonos cuando llega al destino que no ha sido modificado, combinado con el cifrado es una de las técnicas mas utilizadas.

Esteganografia no deja de ser una curiosidad, que se debe tener en cuenta, evitar fugas de información.

En próximos artículos explicaremos herramientas para realizar todos estos procesos, y tendremos esta serie referencia para entender los conceptos.

Hay muchas aplicaciones para proteger los datos utilizando combinaciones de cifrado, hash y certificados digitales ...VPN, protocolos seguros, etc.

Seguridad a lo Jabali para Todos!!!

miércoles, 30 de noviembre de 2011

Ocultacion de Datos 4 Esteganografía

En artículos anteriores

Hoy hablamos de la Esteganografia, con este termino un poco dificultoso (prueba a decirlo rápido) se define la ciencia de ocultar algo en otro contenedor o lo que es lo mismo esconder una foto o un archivo en una imagen o una extensión mp3.
Es un tema muy de película, el espía recibe una foto y dentro del archivo están los planos de la central nuclear enemiga, pero veras que el manejo es muy sencillo, y para enviar algunos datos sensible por la red puede ser interesante.

Hay distintos software para hacerlo y el manejo es muy sencillo, no tanto el funcionamiento de estos programas, pero para resumirlo cuando se crea un archivo tipo bmp o mp3 entre los lugares físicos que ocupa el programa existen espacios vacíos, estos huecos no tienen uso y pueden rellenarse con información.

El software diseñado para esteganografía utiliza estos espacios para guardar la información de un archivo, el que esta oculto, podrás imaginar que cuanto mayor es el contenedor (archivo original) mayor puede ser el tamaño del archivo que ocultas.

Además el software permite cifrar y poner una contraseña, así te aseguras que aunque se descubra el archivo oculto, solo el destinatario podrá verlo.

En siguientes post explicare algunas técnicas de cifrado y hash, espero que esta serie sirva como introducción al tema y os gustara, dejo unos enlaces para que probéis algún software de esteganografía.

Seguridad a lo Jabali para Todos !!

lunes, 28 de noviembre de 2011

Lorenzo Martinez El Señor de las Bestias

Muchos somos los que nos adentramos en el mundo de Linux y pocos los que sobreviven, y si lo hacemos es gracias a gente como Lorenzo Martinez @lawwait .

Lorenzo conoce como nadie como funciona un sistema operativo y como debe estar configurado para estar seguro, pero una de las habilidades que mas me gusta es que es capaz de modificar el sistema operativo de una tostadora si tiene que conectarla a su red  y explicártelo con detalle.
Recuerdo el articulo cuando le instalaron el router en su casa y enseguida manipulo su server para adecuar la conexion a su gusto.
Puedes leer sus artículos en Security By Default .

Así que con todo nuestro cariño recordamos aquella película en la que el protagonista podía hablar con las bestias ....... El Señor de las Bestias "en linux claro".


Nadie es capaz de hablarle así al Sistema Operativo .


No Importa que Sistema !!!


Al Final El Sistema se Rinde ante Lorenzo Martinez ..........

Y claro el que gobierna en la Selva se lleva a la Chica, faltaria mas...

Con todo nuestra admiracion y cariño para Lorenzo Martinez, una mente inquieta y un profesional con muchisimo talento !!!

Un saludo desde Seguridad Jabalí !!

Ocultacion de Datos 3 Hash

En artículos anteriores

El hash no debe confundirse con el cifrado, un hash de un archivo es un resultante de símbolos que identifican de forma única el archivo origen, ese es el motivo por el que se utiliza como firma digital.
Seguramente has visto muchos ejemplos de esto, cuando descargas un archivo a veces, debajo del enlace hay algo como MD5: Add43dfsGHf54gh ge46jAuj46 .

Algoritmo aplicado
Suele ser de carácter publico, debe cumplir una serie de condiciones para que funcione como hash, normalmente, que sea rápido, independiente del tamaño del archivo y que cada elemento hasheado produzca una firma única. MD5,SHA.

Firma Hash
La firma o resultado alfanumérico producido por un algoritmo de hash, debe ser única para cada elemento al que se aplica, si dos elementos producen el mismo resultado se denomina colisión y entonces el sistema pierde fiabilidad, se han conseguido colisiones experimentales con el algoritmo md5, así que aunque sigue siendo fiable si quieres mas precisión deberías utilizar otros métodos de hash como sha.

Usos Frecuentes
No hay que olvidar que el método hash produce resultados unidireccionales, es decir si una contraseña le aplicas un md5 y guardas este, si pierdes la contraseña no podrás recuperarla desde su hash.
Es un sistema que se utiliza mucho en los servidores para almacenar bases de datos con claves, aunque accedan a la base de datos no podrán robar las contraseñas. En la pagina web cuando el usuario introduce su clave se le aplica el md5 y se compara con la que esta almacenada y si el resultado es correcto se permite el acceso.
Hoy en día existen ataques a claves de md5 con enormes bases de datos y mucha capacidad computacional que comparan el md5 con millones de posibilidades hasta encontrar coincidencia.
Seguridad a lo Jabali para Todos !!

jueves, 24 de noviembre de 2011

Ocultacion de Datos 2 Cifrado

En el articulo anterior describíamos distintos métodos para proteger la confidencialidad de los datos, aunque no están basados en las mismas premisas. Ocultacion de Datos Introducción .
Hoy vamos a explicar un poco mas el cifrado de Datos.

El cifrado es uno de los métodos mas conocido y utilizado desde la antiguedad, sobre todo con fines bélicos, en la época griega ya se planteaba como un problema que el portador de un mensaje pudiera leer la información, o si era interceptado se accediera a dicha información.

Las técnicas mas utilizadas se basaban en códigos de desordenación o sustitucion de símbolos dentro del mensaje, un ejemplo seria cambiar todas las letras por la que este cinco posiciones hacia delante, ahí entraba en juego otro factor, la clave.

Hoy en día con la capacidad para realizar millones de operaciones matemáticas por segundo que tienen las computadoras los algoritmos de cifrado son mucho mas complejos, aunque las formas de atacar esos algoritmos también utilizan el poder de los ordenadores para verificar miles de posibilidades por segundo.

El Cifrado no impide el acceso a la información, es decir si te roban el portátil tienen tus datos, un sniffer seguirá accediendo a la información de la red, otra cosa es que esa información se pueda comprender o utilizar.

En la Actualidad la política de cifrado considera que un buen algoritmo de cifrado debe ser publico, es decir los detalles de la formula matemática, procesos que se aplican a la información serán conocidos y así comprobados por toda la comunidad, esto hace que la clave de cifrado sea un elemento muy importante.

Aunque se puede atacar el algoritmo de cifrado, y cada cierto tiempo se encuentran vulnerabilidades, lo mas frecuente es que se ataque la clave de forma que se pueda utilizar para acceder a la información, aquí entra en juego la ingeniería social, o la interceptación en momentos delicados como cuando inicias sesión.

Recomendamos que cifres los datos de tu equipo sobre todo si es portátil, y que utilices las opciones de https en tus redes sociales, con lo que la información ira cifrada, en próximos artículos explicaremos como.

Windows Cifrado de Datos con Bitlocker .

Ocultacion de Datos 3 Hash .
Seguridad a lo Jabalí para Todos!!!

lunes, 21 de noviembre de 2011

Ocultacion de Datos

Desde que el hombre fue capaz de codificar datos mediante la escritura o el dibujo, lo primero que se planteo es el acceso a esa información. Durante siglos el uso de los conocimientos estuvo limitado a unos pocos y manuales técnicos como los de las Logias o escritos de temas políticos, religiosos y militares siempre fueron un activo a defender.

Hoy en día el tema no varía mucho, aunque tenemos Internet y muchos medios de comunicacion, la información se oculta en mares y mares de noticias .
"¿como ocultar un árbol?, plantalo en un bosque" .

El Cifrado es la aplicacion de una técnica para desordenar o camuflar la información de forma que solo sea entendida por el receptor legitimo. En medios informáticos se aprovecha el poder de la computación para realizar operaciones matemáticas complejas que solo pueden ser revertidas mediante el conocimiento de una clave . Ocultacion de Datos Cifrado .

Hash es la aplicacion de una formula unidireccional a un elemento, obteniendo siempre para ese elemento el mismo resultado. Es decir no se puede descifrar o revertir, se utiliza como firma de archivos o para garantizar que los datos no fueron modificados. Ocultacion de Datos Hash .

Esteganografía es la técnica de ocultar un objeto dentro de otro, es decir, en un archivo de musica mp3 esconder una imagen, en una imagen ocultar un texto, foto, etc. Ocultacion de Datos Esteganografia .

En próximos posts hablaremos de cada uno de estos métodos y veremos como nos pueden ser útiles.

Seguridad a lo Jabali para Todos!!

domingo, 20 de noviembre de 2011

Día Universal del Niño

Hoy es el día Universal del Niño según Las Naciones Unidas
Recordaros desde Seguridad a lo Jabali que vuestros niños disfruten de Internet, pero seguros.


Seguridad a lo Jabali para Todos !!!

Recomendaciones Una al Día Hispasec

Nunca te ha pasado que estas convencido de que hiciste algo, y un tiempo mas tarde, te das cuenta de que no lo has hecho (debe ser la edad) .... como en aquella frase que recordaran los que tienen algún que otro año.
"Anda !!!! .... Los Donuts!!!".



Cada Domingo recordamos una pagina, blog o lugar en Internet que consideramos que deberías conocer, habíamos hablado ya de Hispasec y su Servicio Virus Total .
En este blog tenemos enlaces permanentes a Hispasec, Virus Total y varias noticias en los laterales del blog . Y con todo, se nos olvido recomendarlos .

Hispasec Una al Día.
Asi empezo todo, dos amigos se propusieron publicar una noticia sobre seguridad informática todos los dias, cada dia .... y llevan mas de doce años. Recomiendo que leas El libro de Sergio de los Santos .
Un libro para todos los públicos que no solo te sorprenderá por lo fácil que te resultara comprenderlo aunque no tengas un perfil técnico, además sabrás muchisimo mas de la realidad de Internet, y todo el trabajo realizado por Hispasec en estos años.

No quiero mentiros, Hispasec esta compuesto por expertos en seguridad informática, muchas de las noticias que publican necesitan de conocimiento técnico, algunos artículos necesitan una solida base, no solo informática, además tener conocimientos de seguridad .
Aun así, recomiendo que leas todos los días Una al Día de Hispasec, la mayoría de las veces, sabrás de que te hablan, y estarás muy bien informado.

Seguridad a lo Jabali trata de conseguir que la Red sea un sitio un poco mas seguro, porque cada pc que es troyanizada, cada usuario que se infecta, es una pieza mas en las redes del cibercrimen.
Cada día procuramos advertiros de amenazas, peligros y ayudaros a tener una mejor configuracion de la maquina, y constantemente hablamos de malware, organizaciones criminales, métodos de infección, etc.

Pero nosotros nos dedicamos a transmitir lo aprendido, a repetir lo que leemos en excelentes fuentes, y una de las mas importantes es Hispasec.

Hispasec es la iniciativa que a defendido la Red.
Investigando cada dia diversos servicios, protocolos y aplicaciones.
Publicando artículos de denuncia de errores o debilidades de software.
Avisando de vulnerabilidades que podían ser aprovechadas por atacantes.
Informando de actividades de grupos criminales informáticos.
Realizando artículos explicando el funcionamiento de infinidad de protocolos.
Asesorando a Organismos Oficiales y Fuerzas del Estado.
Estudiando millones de Espécimenes de Virus, Troyanos y diversos Malwares.
Siendo Fuente para la Base de Firmas de los Antivirus.

Así que si hoy Internet es un poco mas segura, es gracias a Hispasec, sin duda .
Muchas gracias a Todo el Equipo de Hispasec!!!

Seguridad a lo Jabali para Todos!!

sábado, 19 de noviembre de 2011

Jornada de Reflexión

Hoy estamos en jornada de Reflexión, menos mal, porque la invasión en los medios, redes sociales y los automoviles con los programas electorales ya nos tenían el "cerebro frito".
Aprovechando el momento decidí reflexionar un poco (tampoco se puede pensar mucho), sobre lo acontecido estos últimos meses con nuestro Blog Seguridad a lo Jabali.

Este Proyecto surgió con la idea de aportar algo a la comunidad, en realidad las personas involucradas o que participan, casi no tenemos tiempo (como todos imagino), pero queríamos devolver el favor a todas esas personas y organismos que invierten tiempo, deificación y recursos para mejorar la Red.

Nuestros objetivos eran los siguientes.
Este proyecto no tiene ningún animo de lucro, las referencias a software, empresas o personas son siempre pensando en que el servicio que brindan es recomendable, y nunca percibimos ningún tipo de beneficio económico, etc por hablar de ello.

Seguridad a lo Jabali pretende llegar a los usuarios de la red para informarles de temas informáticos y seguridad, para nosotros es mas importante el concepto o la idea de como funciona algo, que un detallado informe técnico, informes que por otra parte son necesarios y están documentados en otras paginas mucho mejor de lo que lo haríamos nosotros. Para eso la sección del Domingo Recomendados .

Tratamos de llegar al mayor numero posible de personas, no por ego, ni por fines económicos, porque creemos que nuestro servicio sera mas útil dado que esta orientado a un usuario sin conocimientos técnicos.

Humor, queremos que sea ameno, divertido muchos usuarios se desesperan ante informes y descripciones largas y aburridas con detalles técnicos que no entienden ..... ni quieren aprender (y están en su derecho).

Profundo respeto, nuestras criticas y opiniones siempre están basadas en el respeto, creemos que debe ser uno de los pilares de cualquier tipo de comunicacion, especial mención de nuestra Sección Travesuras, donde los fotomontajes no tienen otro fin que robar una sonrisa al protagonista, sabemos lo que es pasar 14 horas picando código o peor mirándolo buscando errores, lo que es una instalación de un sistema de días y maldecir ese servicio que "debería funcionar y no lo hace", es un trabajo muy duro.

Si cuando hacemos una travesura, robamos una sonrisa a la víctima y conseguimos un poco de cachondeo entre sus compañeros y amigos, para hacer un poco mas llevadero el día .... nos damos por satisfechos!

Las Travesuras es nuestra particular forma de dar las gracias a Todos esos Increíbles profesionales por todo lo que comparten en sus blogs, conferencias, videos muchas gracias por compartir todos esos conocimientos!!!
Imagino que nos los encontremos en conferencias y saraos, tendremos que invitar a una copa .... miedo me da Chema Alonso y su proximo Calendario.

Muchas Gracias, de verdad a todos, primero a todos los que nos leen y siguen este blog, a todos por comentar, los Me Gusta, Retwitteados, etc. Y muchas gracias a todos los grandes profesionales que nos han apoyado, por su paciencia, buen hacer, contestar nuestras preguntas y el fantástico trato.
Especialmente a Javier de Zoom Red,y a Silvis, Gafitas y Betsabé por todos sus comentarios.
Por su paciencia y atencion a @daboblog @YJesus @lawwait @aramosf @chemaalonso @aropero @francisco_oca @ssantosv y alguno que se nos quedo en el tintero seguro.


Seguridad a lo Jabali para Todos!!

viernes, 18 de noviembre de 2011

5Enise Sin cinturon y en tres Ruedas

El 26 de Octubre en León Inteco organizo un encuentro de blogueros, la mesa redonda de expertos en seguridad informática con unos ponentes excepcionales, Video Encuentro de Blogueros Inteco .

Participantes
Javier Berciano.
David Hernández
Daboblog .
José Selvi
Pentester .
Manuel Benet
Securityartwork .
Yago Jesús
Sergio de los Santos

Un interesante vídeo donde puedes saber la opinión de expertos sobre el panorama de la seguridad actual, mesa redonda muy amena, diversos puntos de vista (aunque las conclusiones no son tan distantes), me resulto muy interesante el tema de la falta de responsabilidad en seguridad de las grandes empresas, y muchas veces la falta de responsabilidades legales.

Destacaría una cuestión respecto al símil con los automoviles, es cierto que las Corporaciones nos tienen circulando sin cinturón y en tres ruedas, pero se os olvida que, si la amenaza es el Malware, seria como preparar los automoviles contra trampas en la carretera preparadas por comandos militares, ¿Lo soportaría un auto de usuario? ¿Tendria responsabilidad el fabricante de automoviles? ¿Y el que hizo la carretera? 
Seguridad Informática un tema complejo, os recomiendo ver el vídeo......

Seguridad a lo Jabalí para Todos!!

jueves, 17 de noviembre de 2011

Protestas en Facebook de los Usuarios

Llevamos unos días observando muy de cerca el Facebook y empiezan a aparecer por cuentas de España algunas imagenes subiditas de tono, es curioso porque algunos perfiles pertenecen a organismos autonómicos y es interesante que publiquen imagenes tan sexys, quizás es un nuevo tipo de campaña electoral.

Parece ser que el grupo 4Chan esta detrás del ataque inicial y no Anonymous como se publicaba en un principio varios usuarios incautos accedieron a urls que atacaron alguna vulnerabilidad, no se sabe aun ,si fue del navegador o de el propio Facebook.

Mientras tanto la red sigue llenandose de imagenes desnudas y cuentan que animales maltratados, esto ultimo desde Seguridad a lo "Jabali" nos parece totalmente rechazable (sobre todo lo de los animales), al final los que tenemos que aguantar las imagenes somos los usuarios.

Habíamos comentado el principio de la noticia aquí en este articulo .

Seguridad a lo Jabalí (sin maltratos por favor) para Todos !!!

Recuperacion de Datos Arquitectura

Seguimos con la recuperación de Datos, hoy vamos a explicar las distintas opciones que tenemos para proteger nuestros datos.

Raid es una configuracion con varios discos duros para que los datos esten duplicados cuando un cambio se produce en la maquina se escribe en dos discos a la vez.
Así si un disco se daña, la información permanece en el otro, esto seria Raid I.

La desventaja es que consumimos mas espacio para los mismos datos, así se diseño el Raid V, que almacena los datos de dos discos en tres, aprovechando mejor los dispositivos.

El Raid 0 consiste en dividir el trabajo de escritura para mejorar la velocidad, los datos se dividen en dos y se escribe una mitad en cada disco, no es redundante dado que si pierdes un disco falta la mitad de toda la información.
En entornos empresariales se utiliza mucho distintas combinaciones, mucho mas complejas con muchos discos para optimizar y proteger los datos.

No se debe confundir el espejado (Raid) con el Backup, mientras que uno sirve para proteger un error físico, el otro permite almacenar copias de los datos, si un virus nos borra toda la información de un sistema Raid, lo hará de todos los discos, en cambio si falla un disco el otro tiene toda la información actualizada, en una Copia de Seguridad (BackUp), siempre perdemos la información entre el momento de la restauración y el momento de la ultima copia. La mejor solución es combinar ambos métodos.

La Sincronización es relacionar dos espacios lógicos o físicos de almacenamiento para que permanezcan iguales,puede ser de varios tipos:
Constante: Seria un método parecido al Raid, dado que si algo pasa en uno de los medios, se transmitirá al  otro.
Programada: Cada cierto tiempo se sincronizan los medios quedando iguales, es mas parecido a un BackUp pero también puedes perder información.
La sincronización es muy cómoda para entornos particulares y mantener copias de carpetas o discos, y no almacenar información innecesaria.

Hay varios tipos de Copias de Seguridad, lo primero que se debe tener un cuenta es si se quiere proteger el sistema, los datos o ambos. En función de eso la copia ocupara mas o menos espacio.
Lo Recomendable es almacenar varias copias de seguridad de distintos espacios de tiempo, si detectas un malware y restauras la copia de ayer y el malware sigue ahí podrás utilizar la copia de la semana pasada.
Programar la realización de las copias es fundamental, así como comprobar que luego la restauración funciona correctamente. En este punto resaltar que para restaurar con seguridad es importante hacerlo con el mismo software que es realizo la copia.
Debido al espacio ocupado por las copias lo mas frecuente es que se realice una copia completa y luego se hagan copias diferenciales o incrementales de los cambios, la ventaja es la velocidad y el ahorro de espacio pero recuerda que para restaurar necesitaras que la copia completa este integra, así que cada cierto tiempo es recomendable hacer una.

Software que puedes Probar

Algunos son de Libre licencia otros tienen versión de prueba, pero la licencia no suele ser mucho.

Seguridad a lo Jabali para Todos!!!

miércoles, 16 de noviembre de 2011

E-Security Conferences

Los días 25 y 26 de noviembre si te puedes acercar a Guayaquil (Ecuador) no te pierdas esta conferencia organizada por la Cámara de Comercio

Una conferencia estupenda con un plantel de ponentes impresionante.

Leonardo Pigñer, escritor del blog KungfooSion, de la empresa Base4 y uno de los fundadores y organizadores de la Ekoparty.

Chema Alonso, el Lado del Mal ,de Informatica64 y siempre sorprendente en sus demostraciones de nuevas lineas de ataque Web.

Jaime Andrés Restrepo de DragonJar, un gran Experto en seguridad informática con muchisima experiencia.

Y otros ponentes de la misma calidad.


Si necesitas mas información te dejo el enlace a la pagina.


Seguridad a lo Jabalí para Todos !!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias